In base a questo , una password come dinwryran è sicuro contro un attacco di forza bruta. È vero? In caso negativo, perché?
Non sarei d'accordo sul fatto che la sua affermazione di tre parole "a tre lettere" sia sicura. Nel suo articolo dice:
So - 500 x 500 x 500 = 125,000,000 (one hundred and twenty five million) possibilities.
Maybe that doesn’t sound like a lot - but if you could check 20 of them every second, 24 hours a day, you would need roughly 60 days to get through them all!
Prima di tutto, gli strumenti di cracking delle password e la combinazione di hardware possono craccare molto più di 20 al secondo, specialmente se l'elenco delle combinazioni è pre generato. Inoltre, se viene recuperato un hash di queste password, può essere eseguito un attacco di cracking offline che significa che l'hacker ha tutto il tempo del mondo per provare a craccarle e se in realtà ha impiegato 60 giorni, a un criminale motivato non è niente.
Il semplice fatto è che 9 caratteri alfabetici sono troppo brevi al giorno d'oggi.
12 caratteri espotenzialmente rende più difficile, ma l'utilizzo solo dell'alfabeto non è il massimo.
Alla fine della giornata, mi piace usare un gestore di password e generare una password di 20+ caratteri con caratteri alfanumerici, caratteri speciali e maiuscole.
Concordo con tutto ciò che @ nd510 ha detto nella sua risposta: 9 caratteri alfabetici non sono abbastanza entropia per essere sicuri, e uso anche un gestore di password per creare password uniche con un mix di casi, numeri e simboli.
Voglio aggiungere, tuttavia, che le password come dinwryran possono essere resistenti agli attacchi di forza bruta nella situazione specifica in cui l'attaccante non conosce il tuo metodo di generazione delle password. Questa è sicurezza attraverso l'offuscamento e non è saggia. Ti spiego.
Se l'attaccante non sa che stai usando 9 caratteri alfabetici per le tue password, allora il loro metodo forza bruta non genererebbe solo 9 caratteri alfabetici, ma includerebbe tutti i caratteri alfanumerici e speciali di qualsiasi lunghezza. Poiché dinwryran non è nei dizionari di password comuni, un normale dizionario o attacco arcobaleno non funzionerebbe su di esso, e quindi l'utente malintenzionato sarebbe costretto alla forza bruta. Se l'attaccante non sa che la tua password è composta da 9 caratteri alfabetici, è improbabile che l'attacco abbia successo.
Detto questo, la sicurezza attraverso l'offuscamento non è affatto sicurezza; l'uso di password come dinwryran è sicuro solo se (a) l'utente malintenzionato non conosce il tuo metodo di creazione delle password e (b) il sistema accetta password molto più lunghe e contenenti caratteri. dinwryran è sicuro solo a causa dell'ignoranza dell'attaccante, non della complessità computazionale.
D'altro canto, il metodo di generazione di password di my e nd510 non è meno sicuro dall'attaccante sapendo come sono state generate le password, e è sicuro dal punto di vista computazionale.
No dinwryran non è sicuro. Puoi testare utilizzando uno dei moderni misuratori di forza, come zxcvbn o quello costruito utilizzare la rete neurale .
Bottomline è che le password inferiori a 10 caratteri sono raramente sicure da usare. Come suggerito da @ nd510: usa password manager e genera stringhe alfanumeriche casuali. Metti alla prova la differenza nel link al sito web che ho dato sopra.
Leggi altre domande sui tag passwords brute-force account-security passphrase